只用几招,就能轻松搞定WordPress网站的常规安全防护,抵御大部分安全风险。我用自己近百个外贸建站项目的经验,为你讲解WordPress网站安全如何守护。
1.选择可靠的WordPress主机
我用的是Cloudways主机,它是托管式的WordPress主机,已经为我们提供了主机层面的安全防护措施,如果你没有专业运维技能,尽量不要买那种需要自行装系统的裸机(这就像你自己扛了个机箱回家自己装电脑系统一样)。
如果你用的是其他主机,想要搬运到Cloudways主机中,点击上方按钮,你也将能找到搬家教程哦。
2.安装WordPress安全插件
你可以在WordPress后台的插件库中搜索security找到很多的安全插件,综合装机数量、评价数量、评价分数,Wordfence插件当之无愧是第一名的选择。注意,这类综合性的安全插件只用装一个即可。
为什么推荐安装Wordfence?Wordfence免费版就提供了WordPress 安全性的 3 个最重要的方面:高级防火墙(防)、恶意软件扫描程序(查)、恶意软件清理程序(清):
- Wordfence提供对了web应用程序防火墙,能够识别并阻止恶意流量。
- 它与WordPress深度集成,直接在你的网站里保护你,它不在云端工作,所以它不会影响网站的加密系统,也不会泄露数据(不过,这件事儿是双面的,这么做有利也有弊,它会消耗网站的主机资源)
- Wordfence提供了恶意软件扫描程序,可以自动检查网站核心文件、主题、插件是否存在恶意软件或不良url、后门、SEO垃圾、恶意重定向、代码注入,同时,阻止包含恶意代码或内容的请求,对于已知的安全漏洞,会向你发出警报等等。
- wordfence通过限制登录尝试来预防暴力攻击。
- wordfence提供了登录安全配置,包括双因素身份认证(2FA),登录页面的验证码,阻止管理员使用被泄露的密码登录等等。
- wordfence提供实时流量监控,监控并分析用户访问和恶意尝试,告知你用户来源、IP地址以及访问时间等信息。
请在你的WordPres后台安装Wordfence安防插件,免费版就够常规使用,如果你运营不错,那么你也不差经费转为用付费版,那么安全系数将得到进一步提升。(查看Wordfence安装教程)
此外,如果你用的是Cloudways主机,那么,网站里会默认安装Bot Protection插件,请保留它,不用卸载。它能够阻止对 WordPress 网站的恶意流量和机器人攻击。它本是MalCare提供的付费功能,但在cloudways,你可以免费使用它。
3.管理员用户名个性化、使用强密码
我接触过太多顾客直接用很简单的账号与密码,譬如admin,密码a123456又或是其他简单的数字,这样真的太不安全了。
请修改你的账户密码为系统提供的强密码
默认情况下,用户名是无法直接在wordpress后台修改的,如果你想修改,需要进入数据库,请查看:如何通过数据库修改WordPress网站用户名与密码
4.修改网站后台登录地址
默认登录WordPress网站后台的地址,是在你的网站域名后方添加/wp-login.php或/wp-admin/,如果你不希望有人能访问到你的后台地址并尝试登录,你可以修改默认的地址,改为自定义的登录地址。
但是这个方法不是万无一失的安全措施,因为WordPress 网站上的大多数登录尝试是使用XML-RPC或 REST API 执行的。因此,更改 WordPress 登录 URL 或管理 URL 并不能阻止这些攻击。
甚至在Wordfence看来,这不是一个必要措施,但是,实际上,它确实能减少部分攻击,这也是我选择使用它的原因。
那么如何修改网站后台登录地址呢?最简单的方法是借助插件WPS Hide Login,如果你忘记了修改后的地址,你也可以学习如何找回WordPress登录地址。
5.安装SSL证书
SSL证书是网站用来加密通信的安全协议,当用户访问你的网站时,数据会从用户的浏览器发送到你的网站主机中,然后再返回给用户,安装SSL证书能够确保数据是加密了的,从而防止未经授权的人窃取数据。
通常而言,WordPress主机都提供了一键安装SSL证书功能,并且是免费的。当你安装了SSL证书之后,你将能在浏览器中看到你的网站地址栏里有个锁。
6.使用正版的主题插件以及原版的WordPress
不要使用来路不明的、破解的主题或插件,如果觉得官网的太贵,也需要从正版分销渠道购买主题和插件(譬如我)。
如何识别主题和插件是否正版呢?通常破解的主题和插件不需要填入授权码,也不能在有新版本时,提供在线直接更新的功能。有些破解的主题和插件甚至无法提示你需要更新,从而造成没有新版本的假象。
那主题和插件以及wordpress系统都是人开发的,不出错是不可能的,所以我们才需要用正版来保持可更新的能力。
而WordPress作为一个开源建站软件,根据我过往的经验,国内有一些公司是会将其进行二次修改并包装为自己的建站系统的,那么如果你用上了这种系统做的网站,你也无法享受原版WordPress的更新,那么系统的安全风险就要寻求这些二次开发的公司的支持了。
7.保持WordPress、主题、插件更新
WordPress、主题、插件都是人们用代码制作出来的,是人做出来的就会有漏洞,也就是bug,那么这些漏洞可能会被利用,譬如前阵子Elementor出了一个漏洞,允许创建的用户成为系统管理员,我的天,也就是说,如果你的网站是开放注册的,那么每个注册用户都会成为管理员。由此可见,保持插件的更新是十分必要的。
你可以在下图中找到需要更新的内容汇总,也可以在此处点击按钮进行更新,但更新前,记得先备份网站,以免不测。
是不是每次主题、插件的更新都必须及时更新呢?原则上当然是建议你保持更新,但是,实际操作上,有时候主题插件更新颇为频繁,尤其是一些插件之间可能还会存在兼容关系,譬如elementor与它的扩展插件们,而频繁更新可能就会导致网站里的页面出错。
所以,我的建议是,关注主题和插件的更新日志,了解其更新内容,也要关注wordfence或其他安全插件提供的风险警告,从而识别出那些十分必要的安全更新,这类是必须立刻做的。而对于一些小修改,新功能,我们则可以缓缓,保持2-3个月全面更新一次即可。
那下图就是插件列表,我们可以看到需要更新的插件数量,在待更新的插件下方也会有相应的提示以及版本详情,而更新完成后,你也能看到更新成功提示。
7.删除不用的主题和插件
新手建站时,遇到那么多主题插件,难免装来体验使用,不用了可能就放在那儿不管,这是不合适的。
确定自己以后都用不上的主题和插件,一律删掉,它们不仅占地儿,还会增加安全漏洞风险。
如果你学有余力,在禁用这些主题和插件之后,先备份网站,然后用数据库表清理插件(我用的是Advanced Database Cleaner付费版),扫描全站,清理这些即将删除的插件带来的数据库表,有些插件还会提供删除时清理数据库表的配置,但大部分都不提供这个功能。
如果有些插件是偶尔用到,那可以在不用时先禁用,需要用时再启用,也需要定期对他们进行更新。
有些插件是不能删除或禁用的,譬如,如果用了Elementor 制作了页面,那么就无法禁用或删除它,这会导致你做的页面全部失效,同样的道理,如果你使用woocommerce插件管理产品,那么也就不能禁用它。
如果你装了很多fluent forms,但是并没有用它制作表单,而是使用elementor pro制作的表单,那么fluent forms就是可以删除的插件,以此类推。
